Fancy Bear
e uno dei nomi con cui e noto un gruppo di criminali informatici
russi
che si ritiene sia affiliato con il servizio segreto russo
GRU
.
[1]
[2]
[3]
Il gruppo e anche conosciuto con i nomi
APT28
(da
Advanced Persistent Threat
),
Pawn Storm
,
Sofacy Group
,
Sednit
,
STRONTIUM
,
Tsar Team
e
Unita 26165
.
[4]
[5]
Il gruppo prende di mira soprattutto governi, forze armate e organizzazioni che si occupano di sicurezza, specialmente nei paesi
transcaucasici
e nei membri della
NATO
, nonche cittadini russi considerati nemici politici del
Cremlino
.
Tra il 2014 e il 2017 Fancy Bear ha preso di mira numerosi giornalisti in USA, Ucraina, Russia, Moldavia, Paesi baltici e altre nazioni che hanno scritto articoli critici verso
Vladimir Putin
o si erano occupati della
crisi russo-ucraina
, tra cui
Tina Kandelaki
e
Ksenija Sob?ak
.
[6]
Il gruppo e sospettato di avere condotto un attacco informatico contro il
Parlamento federale tedesco
tra il 2014 e il 2015. L'attacco ha completamente paralizzato l'infrastruttura informatica del Parlamento nel maggio 2015, rendendone necessaria la disconnessione per diversi giorni. Sono inoltre stati sottratti
16 GB
di dati.
[7]
L'8 aprile 2015 un gruppo hacker che si autodenominava "CyberCaliphate" ha attaccato la rete televisiva francese
TV5 Monde
. I criminali sono entrati nella rete interna dell'emittente, modificandone il palinsesto dei suoi 12 canali per circa 3 ore. Hanno anche preso il controllo dei canali Facebook e Twitter dell'azienda, pubblicando informazioni personali sulle mogli dei soldati francesi impegnati nella guerra all'ISIS e messaggi critici verso il presidente
Francois Hollande
. I perpetratori hanno anche cancellato il
firmware
di alcuni sistemi elettronici dell'emittente. Nonostante sembrasse che l'attacco avesse matrice islamista, successive indagini hanno appurato che era stato invece perpetrato dal gruppo Fancy Bear.
[8]
Documento pubblicato dall'FBI con i volti dei 7 presunti affiliati a Fancy Bear.
Nell'agosto 2016 l'
Agenzia mondiale antidoping
(WADA) ha dichiarato di essere oggetto di una campagna di attacchi di tipo
phishing
, in cui i perpetratori inviavano agli utenti email camuffate da comunicazioni ufficiali della WADA chiedendo i loro dati di accesso. Tale attacco e avvenuto dopo che la WADA ha proposto di proibire agli atleti russi di partecipare alle
Olimpiadi di Rio 2016
a causa della questione del
doping di Stato in Russia
. In seguito, la WADA ha confermato che c'era stato un furto di dati dai suoi server. I criminali hanno poi pubblicato in rete i dati relativi ai test antidoping di alcuni atleti che avevano ricevuto esenzioni per l'uso di sostanze dopanti ad uso terapeutico. Ulteriori analisi hanno portato alla conclusione che l'attacco e stato condotto dal gruppo Fancy Bear.
[9]
Nel 2018 un
gran giuri
federale statunitense ha emesso un atto di accusa nei confronti di 7 russi, tutti appartenenti al servizio segreto GRU, per aver partecipato all'attacco informatico alla WADA.
[10]
Bellingcat
, un sito Internet olandese di
giornalismo investigativo
, e stato oggetto di un attacco portato avanti attraverso l'invio di una grande quantita email di
phishing
mentre stava investigando sull'abbattimento del
volo Malaysia Airlines 17
, in cui hanno perso la vita numerosi cittadini olandesi. I giornalisti di Bellingcat hanno dimostrato che l'aereo civile e stato abbattuto di proposito dalle forze russe.
[11]
[12]
L'organizzazione criminale ha anche attaccato, senza successo, il
Consiglio olandese per la sicurezza
, l'agenzia che stava conducendo l'indagine ufficiale sul disastro aereo.
[13]
Un altro attacco di
phishing
e stato condotto nel 2016 ai danni del
Comitato nazionale democratico
statunitense. Sono state prese di mira le caselle email degli esponenti del Partito Democratico e quelle del sito Hillaryclinton.com. L'account
Gmail
di
John Podesta
e stato violato e piu di 50.000 email sono state trafugate. Il malware utilizzato proveniva dallo stesso server che era stato adoperato l'anno prima per l'attacco al Parlamento tedesco. Nonostante una falsa rivendicazione da parte di un hacker o gruppo di hacker autonominatosi "Guccifer 2.0", e stato appurato che l'attacco e stato effettuato da Fancy Bear.
[14]
Curiosamente un altro gruppo di criminali informatici riconducibili al governo russo,
Cozy Bear
, aveva violato i server del Comitato nazionale democratico nello stesso periodo, ma apparentemente i due gruppi operano ciascuno all'insaputa dell'altro.
Tra il 2014 e il 2016, durante la
crisi russo-ucraina
, Fancy Bear ha preso di mira le Forze missilistiche e di artiglieria delle
Forze Terrestri Ucraine
. Il gruppo ha diffuso su forum militari una versione infetta dal virus
X-Agent
di un'
app
per
Android
utilizzata per controllare i dati di tiro dell'
obice D-30
. Si ritiene che questo attacco abbia portato alla distruzione di circa il 15?20% degli obici D-30 dell'esercito ucraino.
[15]
Il 31 ottobre 2016 ricercatori di
Google
hanno rivelato di avere scoperto una vulnerabilita
0-day
in diverse versioni del sistema operativo
Microsoft Windows
che veniva utilizzata per effettuare attacchi malware. In seguito Microsoft ha indicato Fancy Bear come esecutore degli attacchi.
[16]
Nell'aprile 2017 la
International Association of Athletics Federations
ha comunicato che i suoi server erano stati attaccati da Fancy Bear il precedente 21 febbraio. I criminali hanno avuto accesso a documenti relativi all'uso di sostanze terapeutiche proibite dalla WADA.
[17]
Nel 2017 il gruppo ha cercato di influenzare le elezioni
in Francia
e
in Germania
. In particolare, e stato appurato che Fancy Bear ha preso di mira la campagna elettorale di
Emmanuel Macron
con attacchi di
phishing
e tentativi di installare malware sul loro sito; non sono stati invece rilevati attacchi verso la campagna della sfidante
Marine Le Pen
.
[18]
I criminali informatici hanno anche attaccato le fondazioni tedesche
Konrad Adenauer
e
Friedrich Ebert
, vicine al partito di
Angela Merkel
.
[19]
Il 10 gennaio 2018 un account con il nome "Fancy Bears Hack Team" ha pubblicato online alcune email sottratte al
Comitato Olimpico Internazionale
e al
Comitato Olimpico degli Stati Uniti
e datate tra la fine del 2016 e l'inizio del 2017.
[20]
Nell'agosto 2020 il
Parlamento norvegese
ha informato il pubblico di un cyberattacco contro il suo sistema di posta elettronica. Il mese successivo la ministra degli esteri
Ine Marie Eriksen Søreide
ha accusato la Russia dell'attacco. Nel dicembre dello stesso anno, l'
Agenzia di sicurezza della polizia
ha confermato che l'autore dell'attacco e stato Fancy Bear e che alcuni dati sensibili sono stati sottratti dalle caselle email violate.
[21]
- ^
Chi e il gruppo APT Fancy Bear
, su
securityopenlab.it
.
- ^
Dai Democratici alle Olimpiadi: cosa sappiamo degli hacker Fancy Bear
, su
lastampa.it
.
- ^
(
EN
)
Meet Fancy Bear and Cozy Bear, Russian groups blamed for DNC hack
, su
csmonitor.com
.
- ^
APT28 diffonde nuova variante del malware Lojax (alias Double-Agent)
, su
difesaesicurezza.com
.
- ^
(
EN
)
Russian Hackers Are Trying to Brute-Force Hundreds of Networks
, su
wired.com
.
- ^
(
EN
)
Russian hackers hunted journalists in years-long campaign
, su
staradvertiser.com
.
- ^
(
DE
)
Cyberangriff auf Bundestag: Haftbefehl gegen russischen Hacker
, su
tagesschau.de
.
- ^
(
EN
)
France probes Russian lead in TV5Monde hacking: sources
, su
reuters.com
.
- ^
(
EN
)
Russian hackers 'Fancy Bear' likely breached Olympic drug-testing agency and DNC, experts say
, su
ibtimes.co.uk
.
- ^
(
EN
)
U.S. Charges Russian GRU Officers with International Hacking and Related Influence and Disinformation Operations
, su
justice.gov
.
- ^
(
EN
)
Russian hackers harassed journalists who were investigating Malaysia Airlines plane crash
, su
washingtonpost.com
.
- ^
(
EN
)
British Intelligence Report Confirms Russian Military Origin of MH17 Murder Weapon
, su
bellingcat.com
.
- ^
(
EN
)
Pawn Storm Targets MH17 Investigation Team
, su
blog.trendmicro.com
.
- ^
(
EN
)
CrowdStrike’s work with the Democratic National Committee: Setting the record straight
, su
crowdstrike.com
.
- ^
(
EN
)
Cyber Firm Rewrites Part of Disputed Russian Hacking Report
, su
voanews.com
.
- ^
(
EN
)
Windows zero-day exploited by same group behind DNC hack
, su
arstechnica.com
.
- ^
(
EN
)
IAAF Says It Has Been Hacked, Athlete Medical Info Accessed
, su
voanews.com
.
- ^
(
EN
)
Macron campaign was target of cyber attacks by spy-linked group
, su
reuters.com
.
- ^
(
EN
)
Russia-linked Hackers Target German Political Foundations
, su
handelsblatt.com
.
URL consultato il 20 novembre 2021
(archiviato dall'
url originale
il 19 gennaio 2022)
.
- ^
(
EN
)
Hack Brief: Russian Hackers Release Apparent IOC Emails in Wake of Olympics Ban
, su
wired.com
.
- ^
(
EN
)
Norway's Intelligence Service says Russian groups 'likely' behind Parliament cyber attack
, su
euronews.com
.
- John Bambenek,
Come la Russia proietta la sua potenza cibernetica
, in
Limes
, n. 10/18, novembre 2018, 9788883716867.